Oakland VillasGestión condominial

Seguridad

Cómo reportar vulnerabilidades y qué hacemos para proteger los datos del condominio.

Contacto de seguridad
security@visionproces.com

Para reportar vulnerabilidades, sospechas de brecha o preguntas sobre el tratamiento de datos. Responderemos dentro de las 72 horas.

Si descubres una vulnerabilidad

Te pedimos seguir prácticas de divulgación responsable:

  • Escríbenos a security@visionproces.com con descripción, pasos para reproducir e impacto estimado.
  • Danos un plazo razonable para corregir antes de divulgar públicamente (sugerido: 90 días o hasta que esté parcheado).
  • No accedas a datos de otros residentes más allá de lo estrictamente necesario para demostrar la vulnerabilidad.
  • No degrades el servicio (DDoS, spam masivo, etc.) ni modifiques datos productivos.

Agradecemos tu reporte y mencionaremos públicamente a quien quiera ser reconocido, una vez resuelto el caso.

Qué hacemos

  • HTTPS obligatorio en todo el sitio (Vercel).
  • Contraseñas con hashing argon2id (estado del arte; nunca guardamos texto plano).
  • Cookies de sesión con flags httpOnly, Secure y SameSite. No almacenamos tokens en localStorage.
  • Base de datos encriptada en reposo (Neon Postgres) y conexión TLS.
  • Control de acceso por roles: cada acción exige el rol mínimo necesario (residente, admin, junta) y se valida en el servidor.
  • Rate limiting en login y registro de intentos para mitigar ataques de fuerza bruta.
  • Aprobación de gastos por la Junta cuando superan umbral configurable, con bitácora completa.
  • Validación de uploads: solo imágenes hasta 8 MB para fotos de incidencias, con auth previa.
  • Retención de fotos: las fotos de incidencias cerradas se eliminan automáticamente a los 365 días.

Si sospechas que tu cuenta fue comprometida

  1. Cambia tu contraseña desde "Mi perfil" → "Cambiar contraseña". Las otras sesiones activas se cerrarán automáticamente.
  2. Avisa a security@visionproces.com con descripción de lo que notaste (cuándo, qué viste).
  3. Si crees que la Junta debe saber, avísale también a través de los canales habituales.

Respuesta a incidentes

1
Detectar
Investigamos qué datos se expusieron, de quiénes, y desde cuándo.
2
Contener
Revocamos accesos, rotamos secrets, parcheamos.
3
Notificar
Avisamos a usuarios afectados en plazo no mayor a 72 horas si el riesgo es alto.
4
Documentar
Registramos qué pasó, qué se hizo y cuándo.
5
Mejorar
Aplicamos controles adicionales para prevenir recurrencia.

Lo que NO hacemos

  • No vendemos datos a terceros. Nunca.
  • No usamos tus datos para entrenar modelos de IA.
  • No tenemos analítica de comportamiento de terceros (sin Google Analytics, sin Facebook Pixel).
  • No procesamos pagos en la app. Los pagos se hacen por fuera y se sube solo el comprobante (opcional).
Esta página se actualiza cuando hay cambios relevantes en los controles de seguridad o en los procedimientos.